This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Администрация выражает свою искреннюю озабоченность тем, что некоторые разработчики считают правильным проведением вечера пятницы работу над пет-проектами до самой ночи 😱
Мы призываем их немедленно отказаться от этого чудовищного и расшатывающего общепринятые устои мировоззрения, как можно скорее. Вы бы ещё в прод деплоить в пятницу собрались... 🤷♂️
Всем остальным — спокойного и ненапряжного дня с его скорейшим правильным завершением!🤗
Мы призываем их немедленно отказаться от этого чудовищного и расшатывающего общепринятые устои мировоззрения, как можно скорее. Вы бы ещё в прод деплоить в пятницу собрались... 🤷♂️
Всем остальным — спокойного и ненапряжного дня с его скорейшим правильным завершением!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16🤣9😁1
🔍 Наиболее интересные уязвимости
🐛 CVE-2026-25516, обнаруженная в NiceGUI в версиях до 3.7.0, приводит к Cross-Site Scripting (XSS). Проблема заключается в попадании пользовательских данных в метод
🐛 CVE-2026-25760, обнаруженная в Sliver (версии до 1.6.11), приводит к Path Traversal. Проблема заключалась в использовании пользовательских значений для формирования путей к файлам через
🐛 CVE-2026-25580, обнаруженная в Pydantic AI (версии с 0.0.26 до 1.56.0), приводит к SSRF. Проблема заключалась в возможности включения злоумышленниками в историю сообщений вредоносных URL, которые заставляют сервер отправлять HTTP-запросы к произвольным сетевым ресурсам, что позволяло злоумышленнику обращаться к внутренним сервисам. В исправлении добавили методы для безопасной обработки входящих URL, а также проверки по "черным" спискам IP адресов.
🐛 CVE-2026-25161, обнаруженная в Alist (версии до 3.57.0), приводит к Path Traversal. Проблема заключалась в возможности обхода авторизации на уровне директорий через инъекцию символов обхода пути в компоненты имени файла, что позволяло авторизированному злоумышленнику проводить удаление, перемещение и копирование произвольных файлов. В исправлении добавлены проверки значений и их санитизация с помощью метода
🐛 CVE-2026-24763, обнаруженная в OpenClaw (версии до 2026.1.29), приводит к OS Command Injection. Проблема заключалась в небезопасной обработке переменной окружения
🐛 CVE-2026-25516, обнаруженная в NiceGUI в версиях до 3.7.0, приводит к Cross-Site Scripting (XSS). Проблема заключается в попадании пользовательских данных в метод
ui.markdown(), который отрисовывает HTML из Markdown без санитизации содержимого, что позволяло злоумышленнику выполнить произвольный JS в контексте пользователя. В исправлении добавили поддержку режима sanitize и перевели рендер на безопасный режим: при включённой санитизации контент вставляется через setHTML(), а прямой innerHTML() остаётся только при явном отключении .🐛 CVE-2026-25760, обнаруженная в Sliver (версии до 1.6.11), приводит к Path Traversal. Проблема заключалась в использовании пользовательских значений для формирования путей к файлам через
filepath.Join() без санитизации или проверок, что позволяло аутентифицированному злоумышленнику читать произвольные файлы на хосте. В исправлении перестали использовать поле webcontent.Path как часть пути к файлу и вместо него формируют имя файла из webcontent.ID.String() (UUID).🐛 CVE-2026-25580, обнаруженная в Pydantic AI (версии с 0.0.26 до 1.56.0), приводит к SSRF. Проблема заключалась в возможности включения злоумышленниками в историю сообщений вредоносных URL, которые заставляют сервер отправлять HTTP-запросы к произвольным сетевым ресурсам, что позволяло злоумышленнику обращаться к внутренним сервисам. В исправлении добавили методы для безопасной обработки входящих URL, а также проверки по "черным" спискам IP адресов.
🐛 CVE-2026-25161, обнаруженная в Alist (версии до 3.57.0), приводит к Path Traversal. Проблема заключалась в возможности обхода авторизации на уровне директорий через инъекцию символов обхода пути в компоненты имени файла, что позволяло авторизированному злоумышленнику проводить удаление, перемещение и копирование произвольных файлов. В исправлении добавлены проверки значений и их санитизация с помощью метода
SecureJoin().🐛 CVE-2026-24763, обнаруженная в OpenClaw (версии до 2026.1.29), приводит к OS Command Injection. Проблема заключалась в небезопасной обработке переменной окружения
PATH при построении shell-команд, что позволяло аутентифицированному пользователю влиять на выполнение команд в контейнере. В исправлении пользовательское значение PATH вынесли из строки shell-команды и стали передавать его как отдельную env-переменную (CLAWDBOT_PREPEND_PATH), работая с ней уже внутри контейнера.❤2👍2
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Так, это что тут у нас? Почему до сих пор работаем? Заканчивайте это дело и переходите к правильной части пятницы, не будьте админом 😰
Всех с наступающими! (выходными)🤗
Всех с наступающими! (выходными)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤6😁6❤🔥3👍2🥰1